Zakaj skladnosti z GDPR ni mogoče zagotoviti z nakupom zbirke vzorcev dokumentov?
Razmišljanje podjetij in drugih organizacij, ki se srečujejo z izzivom, kako svoje poslovanje uskladiti z zahtevami Splošne uredbe o varstvu podatkov (GDPR) in se s tem izogniti potencialno astronomskim globam, gre včasih tudi takole: »Sprejeti moramo nove dokumente, to pa najlaže (in predvsem najceneje) storimo tako, da kupimo zbirko vzorcev dokumentov s tega področja. Nekaj 10 ali 100 EUR in kakšna ura dela z izpolnjevanjem in naloga je opravljena«.
Drži, (novi) dokumenti so končni, zunanji odraz sprememb, ki jih je organizacija izvedla z namenom zagotavljanja skladnosti z zahtevami GDPR. A žal (ali na srečo) uredba ni tako »naivna«, da bi se zadovoljila zgolj z nekaj novimi papirji v predalu direktorjeve pisalne mize, pač pa terja mnogo več. Za začetek recimo popolno obvladovanje toka osebnih podatkov – kje jih zajemamo, od koga, za kakšen namen, na kakšni pravni podlagi, koliko časa jih hranimo, kdo v podjetju dela z njimi, komu dajemo dostop do njih, komu jih posredujemo, kako jih varujemo, kako nadziramo, kaj se z njimi dogaja, kako zagotavljamo učinkovit izbris, kako ugotavljamo varnostne incidente v zvezi z njimi itd. Vzorec nam ne bo dal odgovorov na ta vprašanja, sploh ne za našo specifično situacijo.
GDPR terja, da je obdelava osebnih podatkov skladna z načeli, ki jih določa njen 5. člen. Že zgolj spoštovanje t.i. načela minimalnega obsega, ki se nanaša na količino zbranih osebnih podatkov, obseg njihove obdelave, obdobje njihove hrambe ter na njihovo dostopnost, v kombinaciji z zahtevo po vgrajenem in privzetem varstvu osebnih podatkov, lahko pomeni, da bo potrebno v podjetju prevetriti in prilagoditi poslovne procese, morda spremeniti kadrovsko organiziranost, na novo določiti dostope (pravice) zaposlenih in/ali vzpostaviti mehanizem samodejnega brisanja ali anonimiziranja osebnih podatkov. Šele po izvedbi navedenih ukrepov lahko sledi sprememba določenih internih aktov. Dvomimo, da bo kupljeni vzorec lahko »pokril« izvedene spremembe.
Podoben primer je nova zahteva po obveščanju (Informacijskega pooblaščenca in/ali prizadetih posameznikov o varnostnih incidentih, ki se tičejo osebnih podatkov. Večina vzorcev dokumentov, ki smo jih preverili, bodisi sploh ne vsebuje scenarija za tak primer bodisi je ta spisan kot da gre za nek povsem običajen dogodek in ne za izredno situacijo, v kateri je časa za reakcijo (ravno tako pod pretnjo visoke globe) med 0 in 72 ur. Kaj pa, če direktor takrat ne bo dosegljiv za odločitev? Ali če vodja sektorja ne bo želel ali znal (ker tega scenarija z njim nikoli ni nihče »preigral) napisati poročila oziroma prijave incidenta? Bomo v paniki preskočili našo PR službo?
A tudi če bi, po malo verjetnem scenariju, nove dokumente uspeli kvalitetno pripraviti po vzorcih, nam GDPR ne dovoli počitka. Od nas namreč zahteva ne le vpeljavo tehničnih in organizacijskih ukrepov za zagotovitev varnosti osebnih podatkov, pač pa tudi redno testiranje, ocenjevanje in vrednotenje učinkovitosti teh istih ukrepov. To pa obenem pomeni, da bodo morali biti tudi dokumenti s tega področja živ, dinamičen organizem, ki bi odražal nenehne spremembe in izboljšave na tem področju.
In nenazadnje, če pogledamo na zadevo še z vidika zagroženih kazni: bi zato, da bi se obranili pred globo v višini 20 mio EUR ali 4% letnega prometa (karkoli je več), res namenili samo nekaj EUR in nekaj ur dela?
Če je vaš odgovor na zgornje vprašanje NE in če razumete, da je zagotavljanje skladnosti z GDPR zahteven proces, pri katerem je lahko dobrodošla pomoč strokovnjakov, ki se z izzivi varstva osebnih podatkov ukvarjajo od leta 2008, nam pišite na info@jkgroup.si ali pokličite na 0590 91 794 in se povabimo na kavo.
Avtor: JK Group
Objavljeno: 20.2.2019
Oznake: